VPN Citrix NetScaler III-rekin – Ziurtagiriekin autentifikazioa
Este post me gusta mucho, en el documento de hoy veremos cómo podemos hacer que nuestros queridos y amados usuarios accedan a NetScalet Gateway a través de sus propios certificados SSL y no de la manera tradicional; haciéndolo más ágil y con un Smart card (USB o NFC) entrarán más seguros.
Beraz, jarraituz NetScaler Gateway bidezko VPN baten muntaketari buruzko mezu sorta honekin, gaur ingurunea eskuratzeko bidez gure erabiltzaileentzako pertsonalak izango diren ziurtagiriak eskatuko ditugu, gure Active Directory-an aurretik sortuak izango direnak, eta gure erabiltzaileei banatuak modu fisikoan edo digitalean.
Mezu hau honela egituratuta dago:
Ziurtagiriak eskatzeko NetScaler-en konfigurazioa saioan sartzean
Authentication CERT profila sortzea
Ziurtagiriak eskatzeko autentifikazio profila sortzen dugu, “Citrix Gateway” > “Politikak” > “Autentikazioa” > “CERT-etik” > “Profiles” > “Gehitu”, Izena adierazten dugu eta erabiltzailearen izena duen eremua duen atributua aukeratzen dugu, “Egin”,
Authentication CERT politika sortzea
Creamos ahora la política y lo vinculamos con el perfíl recién creado, etik “Citrix Gateway” > “Politikak” > “Autentikazioa” > “CERT-etik” > “Politikak” > “Gehitu”, indicando un nombre y la expresión 'ns_true'. “Egin”,
Politika NetScaler Gateway-era lotzea
En el Virtual Server del NetScaler Gateway se le bindea el certificado de la CA de la organización (si no lo tenemos hecho ya),
En el Virtual Server del Gateway en “Basic Authentication” debemos añadirle una nueva, Seleccionamos una política de tipo 'CERTIFICATE’ del tipo 'Primary’ eta sustatu “Jarraitzea”,
Seleccionamos la política anteriormente creada y pulsamos en “Bind”,
Quedando ya asociada '1 Cert Policy', sustatu “Egina”.
Bestela, tener en cuenta en el servidor LDAP el 'Server Logon Name Attribute’ ya que por defecto es 'sAMAccountName’ y eso sería algo como hector.herrero y no me permitiría loguearme como ‘he************@**********es.local‘ certifikatuetan ematen den erabiltzailea bezala agertzen dena da.
Probando
Citrix NetScaler Gateway webgunea berriro irekitzen dugu, gure ziurtagiria ez badugu, ezin izango gara saioa hasi.
Aldiz, gure txartel adimenduna edo smart card edo instalatutako ziurtagiria badugu, Citrix NetScaler Gateway webgunera sartzean PINa eskatuko digu gure ziurtagirira sartzeko eta web ataria kargatzen erakutsiko digu…
Ondoren Secure Access abiaraziko du eta PINa eskatuko du…
Eta pasahitza eskatuko du, erabiltzailea ziurtagiritik hartuko da eta ezin izango da aldatu. Hau gertatzen zaigu oraindik LDAP politika lotuta dugulako.
Eta kredentzialak sartu ondoren ohikoa den moduan sar zaitezke!
Smart Card simulagailua
Esta parte final hablaremos de cómo generar un certificado de usuario y de cómo si no tenemos un Smart Card reader USB podemos simularlo con un software. En un documento previo, ya vimos cómo se pueden generar certificados para los usuarios de nuestro Directorio Activo, puedes seguir esos pasos. O estos usando un software simulador llamado EIDVirtual Smart Card, para usar en MVs y LABs puede venir bien, ditugu 30 días de trial y se puede descargar de aquí.
Instalamos el software, que no tiene mucho misterio y después lanzamos el asistente de configuración. Enchufamos un pendrive USB y lo usará para él, indicamos nuestra letra del pendrive y un PIN, lo formateará para esto. Podremos guardar luego certificados en él 😉 “Format”,
“Bai”,
Es normal, no detecta la tarjeta, hay que despinchar el pendrive y volver a enchufarlo…
Listo, lo detecta, Onartu!
Ahora se carga el Smart Card Manager, que sirve para gestionar este pendrive, o sea este SmartCard, e instalarle certificados, podemos importarlos… abrir la utilidad como administrador si vamos a importar PFX. Si queremos solicitar desde aquí al AD un certificado para el usuario con el que estamos logueados, le damos a Request.
Introducimos el PIN de la tarjeta,
Seleccionamos la CA de nuestro AD & Onartu,
Y listo certificado solicitado y generado en este simulador o virtual smart card, podremos si no instalarlos manualmente…
Espero que este tipo de posts os animen a elevar en algún caso un poquito la seguridad, a parte de la comodidad de trabajar con Smart cards y certificados; =) Como siempre esperando que os vaya MUY bien =)
